Beitrag

Datenschutz beim Friseur: Nicht ohne Dokumentation!

DSGVO Friseur Dokumentation Verzeichnis der Verarbeitungstätigkeiten Vorlage Muster Beispiel

© contrastwerkstatt – Fotolia.com

Wir Friseure sind Kraft der neuen DSGVO in der Pflicht, bestimmte vorgeschriebene Maßnahmen zum Datenschutz durchzuführen. Damit sollen die Interessen der betroffenen Kunden und Mitarbeiter geschützt werden.

Das ist auch gut so. Die meisten Friseure haben sich schließlich noch nie um den Datenschutz in ihren Salons gekümmert. So kam es in der Vergangenheit recht häufig zu Datenschutz-Verletzungen. Diese sind neuerdings meldepflichtig und mit sehr hohen Geldstrafen belegt.

Wer als Friseur glaubt, mit dem Aushängen von Datenschutz-Informationen im Salon seiner Verpflichtung ausreichend nachgekommen zu sein, der irrt sich gewaltig! Auch das Einholen irgendwelcher Einwilligungen von den Kunden ist keineswegs ausreichend, um die Datenschutz-Grundverordnung rechtssicher im Salon umzusetzen.

Viel wichtiger ist die gesetzlich geforderte Dokumentation! Sie ist das Fundament des Datenschutzes in jedem Friseursalon. Nur eine vorschriftsmäßig geführte Dokumentation kann uns bei einer Prüfung durch die Aufsichtsbehörde oder im Falle einer tatsächlichen Datenschutz-Verletzung vor Strafe bewahren.

Datenschutz nach DSGVO verlangt Dokumentation durch den Friseur!

Jeder Unternehmer ist verpflichtet, in seinem Salon ein Verfahren zur Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen des Datenschutzes einrichten und zu dokumentieren (Artikel 30 DSGVO) – auch wir Friseure! Was bedeutet nun Dokumentation?

Ganz einfach: Die Wege der Daten im Friseursalon und außerhalb sind schriftlich aufzuzeichnen (zu dokumentieren). Ebenso müssen alle Ereignisse und Maßnahmen, die den Datenschutz betreffen, aufgezeichnet werden. Das klingt zunächst kompliziert. Ist es aber gar nicht. Es geht praktisch nur darum, schriftlich festzuhalten…

  • woher die Daten kommen,
  • wer auf die Daten zugreift oder sie verarbeitet,
  • auf welcher Rechtsgrundlage die Daten erhoben, verarbeitet und gespeichert werden,
  • an welchen Stellen und wie lang sie im Friseurunternehmen gespeichert sind,
  • bei welchen externen Dienstleistern eine Speicherung vorgenommen wird (z.B. Steuerberater, cloud-basiertes Kassensystem, Email-Dienstleister usw…)
  • welche technischen und organisatorischen Maßnahmen durchgeführt werden, um den Datenschutz zu gewährleisten (z.B. Firewall am Computer, passwortgeschütztes Berechtigungssystem in der Kassensoftware, Vorgehensweise bei Anfragen zur Auskunft, Löschung, Berichtigung, Widerspruch und Übertragung durch betroffene Personen usw…),
  • wer was bei einer Datenschutzverletzung zu tun hat (Meldepflicht bei der Aufsichtsbehörde).

Zu diesem Zwecke soll das sogenannte „Verzeichnis der Verarbeitungstätigkeiten“ dienen. Das Führen einer solchen Dokumentation Ihrer Datenschutz-Bemühungen in Form eines schriftlichen Verzeichnisses wird sogar gesetzlich gefordert! Aber keine Angst! Sie können das auch…

Datenschutz-Dokumentation beim Friseur? Kein Problem!

Guido Scheffler - Fachkaufmann für Marketing, FriseurunternehmerEin Beitrag von Guido Scheffler,

Friseurunternehmer seit 1996,

Fachautor für Management und Marketing im Friseurhandwerk,

geprüfter Fachkaufmann für Marketing,

Geschäftsführer von Friseur-Unternehmer.de

Teile diesen Beitrag:

Dokumentation zum Datenschutz ist Pflicht. Auch beim Friseur!

Verzeichnis der Verarbeitungstätigkeiten Datenschutz Friseursalon DSGVO Friseur Beispiel Muster Vorlage

© Tierney – Fotolia.com

Erstellen Sie ein „Verzeichnis der Verarbeitungstätigkeiten“ für Ihren Salon! Laut Artikel 30 DSGVO wird zwingend von jedem Unternehmer erwartet, dass ein solches Verzeichnis erstellt und gepflegt wird. Es gilt als Nachweis dafür, dass Sie den Überblick über die Datenverarbeitung in Ihrem Salon haben und entsprechende Maßnahmen zum Datenschutz ergreifen. Dafür sind Sie den Aufsichtsbehörden und den Gerichten gegenüber rechenschaftspflichtig!

Können Sie im Fall einer Datenschutzverletzung oder im Falle einer behördlichen Prüfung kein rechtskonformes und regelmäßig aktualisiertes „Verzeichnis der Verarbeitungstätigkeiten“ ihres Salons vorlegen, dann haben Sie schon verloren. Durch dieses „Unterlassen“ kann nämlich bereits ein Verstoß angenommen werden. Und das wird richtig teuer für Sie!

Es gibt leider keine „Standard-Vorlage“ für dieses Verzeichnis. Die kann es auch nicht geben, weil jeder Friseurunternehmer seine eigene Datenverarbeitung ein wenig anders handhabt. Das führt leider dazu, dass viele Friseure auf die Erstellung eines eigenen Verzeichnisses verzichten. Doch das darf nicht sein!

Keine Angst! Das Verzeichnis der Verarbeitungstätigkeiten ist kein Kunstwerk!

Sie können das auch! Sie müssen lediglich schriftlich festhalten, wie bei Ihnen Daten von Kunden, Mitarbeitern und Lieferanten ins Unternehmen gelangen, wer sie wie verarbeiten darf oder muss, an wen die Daten eventuell weitergegeben werden, usw… So schwer ist das gar nicht!

Vieles davon müssen Sie nur einmalig machen. Die Aktualisierung bei zukünftigen Änderungen in Ihrer Datenverarbeitung ist dann schnell getan. Was Sie zunächst brauchen ist ein Grundgerüst. Die dafür empfohlene Tabellen-Form des Verzeichnisses enthält folgende Zeilen, die für jede Verarbeitungstätigkeit bei jeder Personenkategorie ausgefüllt werden müssen:

Grundstruktur des Datenschutz-Verzeichnisses

Die Zeilen 1 bis 12 sowie die Zeile 26 sind der gesetzlich geforderte Mindestumfang des Verzeichnisses. Die Zeilen 13 bis 25 gehören zum sogenannten „erweiterten Verzeichnis“. Dieses wird empfohlen, wenn Sie als Friseur beim Datenschutz rechtlich 100%-ig sicher gehen wollen (Und das sollten Sie!):

  1. Bezeichnung der Verarbeitungstätigkeit (z.B. Bewerbungsverarbeitung, Personalverwaltung, Kundengewinnung, Kundenverwaltung und Abrechnung usw.)
  2. Datum der Anlegung
  3. Datum der letzten Änderung
  4. Verantwortlicher
  5. Zwecke der Verarbeitung (z.B. Mitarbeitergewinnung, Gewinnung von Neukunden, Terminvereinbarung, Erbringung der Dienstleistung und Kundenbindung, Lieferantenkontakt)
  6. betroffene Personenkategorien (z.B. Interessenten, Neukunden, Stammkunden, Bewerber, Mitarbeiter und Auszubildende, Lieferanten)
  7. Beschreibung der Datenkategorien (z.B. Namen, Anschriften, Kontaktdaten, Behandlungsnotizen, Sozialversicherungsdaten bei Mitarbeitern, usw.)
  8. Datenempfänger intern (z.B. Lohnbuchhaltung, Salonleiter, Chef usw.)
  9. Datenempfänger extern (z.B Lohnbüro, Steuerberater usw.)
  10. Datenübermittlung an Dritte (z.B. Anbieter Cloud-Kassensystem)
  11. Löschfristen
  12. technische und organisatorische Maßnahmen gem. Art. 32 Abs. 1 DSGVO
  13. Rechtsgrundlage der Verarbeitung mit entsprechendem Vermerk auf den jeweiligen Paragraphen
  14. Dokumentation, dass Einwilligung erteilt wurde
  15. Dokumentation, dass Verarbeitung für Betroffene transparent erfolgt
  16. Dokumentation, dass Informationspflichten eingehalten werden
  17. Dokumentation, dass Datenschutz durch Technik eingehalten wird
  18. Dokumentation des Prozesses für Auskunft, Berichtigung, Löschung
  19. Umsetzung Speicherbegrenzung
  20. Umsetzung Sicherheit der Verarbeitung
  21. Auflistung aller Auftragsverarbeiter mit Rechtsgrundlagen
  22. Umgang mit Datenschutzverletzungen
  23. Umsetzung der Meldepflicht an Aufsichtsbehörden
  24. Risikobewertung/Datenschutzfolgenabschätzung (wenn erforderlich)
  25. Dokumentation von Sensibilisierungsmaßnahmen

  26. Verantwortlicher (Name, Datum, Unterschrift)

Eigentlich ist das Erfassen der Verarbeitungstätigkeiten in Ihrem Salon mit diesem System recht einfach. Sehen Sie selbst: Laden Sie sich unsere Vorlage eines Verzeichnisses herunter! Dann werden Sie schnell verstehen, worum es geht. Unser Muster ist bereits vorausgefüllt mit den Daten eines echten Friseursalons. So können Sie aus unserem Beispiel-Verzeichnis sehr schnell ein rechtskonformes Verzeichnis für Ihren eigenen Salon erstellen. Einfacher geht es nicht!

Verzeichnis der Verarbeitungstätigkeiten Friseur Friseursalon DSGVO Muster Vorlage Beispiel

© alfexe – Fotolia.com

Neben Schadensersatz und Rechtskosten drohen hohe Bußgelder.

Wie gesagt: Das „Verzeichnis der Verarbeitungstätigkeiten“ ist Pflicht! Werden die vorgeschriebenen Maßnahmen zum Datenschutz unterlassen, drohen uns Friseurunternehmern hohe Bußgelder. Friseure, die künftig über kein solches Datenschutz-Verzeichnis verfügen, stehen auf „sehr wackeligen Beinen“.

Ein Verstoß gegen die Datenschutzgrundverordnung kann von den zuständigen Aufsichtsbehörden mit Geldbußen von bis zu 20.000.000,- Euro (Zwanzig Millionen!) bzw. von bis zu 4% des gesamten Vorjahresumsatzes bestraft werden! So etwas gab es vorher noch nie!

Ein durchschnittlicher Friseursalon mit einem beispielhaften Vorjahresumsatz von 100.000,- Euro hätte demzufolge ein Bußgeld von bis zu 4.000,00 Euro zu erwarten, wenn ein Verstoß gegen die DSGVO vorliegt. Ein größerer Salon mit einem Vorjahresumsatz von z.B. 500.000,- Euro muss mit einer Strafe von bis zu 20.000,- Euro rechnen, wenn ein Datenschutzverstoß nachgewiesen wird. Wir müssen also reagieren:

Mitarbeiter zum Datenschutz schulen, belehren und verpflichten!

Auch und gerade Ihre Mitarbeiter haben eine hohe Verantwortung für den korrekten Umgang mit den Daten. Schulen Sie Ihre Mitarbeiter in Sachen Datenschutz! Dokumentieren Sie, wann Sie worüber belehrt haben! Lassen Sie sich von Ihren Mitarbeitern jede diesbezügliche Belehrung mit Unterschrift quittieren!

Und noch wichtiger: Lassen Sie Ihre Mitarbeiter eine separate Verpflichtungserklärung unterschreiben! In einer solchen Erklärung verpflichtet sich jeder einzelne Mitarbeiter zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DSGVO). Die Verantwortung Ihrer Mitarbeiter geht sogar soweit, dass diese bei schuldhafter Zuwiderhandlung mit strafrechtlichen Konsequenzen zu rechnen haben.

Datenschutz Verpflichtung Mitarbeiter Verschwiegenheit Friseur Friseursalon DSGVO Muster Vorlage Beispiel

© Igor – Fotolia.com

Vorsätzliche Datenschutz-Verletzungen sind eine Straftat!

Wir hatten ja bereits das Beispiel von der Mitarbeiterin, die in Ihrem Salon kündigt und sich vorher noch die Kontaktdaten ihrer besten Kunden notiert, um diese bei Ihrem neuen Arbeitgeber gleich parat zu haben (Siehe: Die rechtskonforme Einwilligungserklärung der Kunden im Friseursalon). Dieses Vorgehen war datenschutzrechtlich gesehen schon immer ein No-Go. Trotzdem war dieser „Datenklau“ bisher Gang und Gäbe.

Ab jetzt sind die Zügel straffer: Die unbefugte Datenübertragung ist ein knallharter Straftatbestand – auch für Mitarbeiter! Wenn Sie als Inhaber diese vorsätzliche Datenschutzverletzung nachweisen können und belegen können, dass Sie die Mitarbeiterin zum Datenschutz belehrt und verpflichtet haben, dann können Sie sie bei der Datenschutzbehörde anzeigen. Sie sind ohnehin verpflichtet, jede Datenschutzverletzung zu melden. Die Behörde wird die Ex-Mitarbeiterin dann kontaktieren und zu dem Straftatbestand befragen.

Unter Umständen kommt sie dann vor den Staatsanwalt und muss mit einer empfindlichen Strafe rechnen. Die bisherige Zurückhaltung der Gerichte wird es auch gegenüber Arbeitnehmern nun nicht mehr geben. In Zeiten der neuen DSGVO ist Datenklau kein Kavaliersdelikt mehr! Insofern hat die DSGVO für uns Saloninhaber durchaus auch etwas Gutes. 😉

Wenn Sie es jedoch versäumen, Ihre Mitarbeiter eine Verpflichtungserklärung unterschreiben zu lassen und die erfolgten Belehrungen zu dokumentieren, dann haften Sie als Unternehmer ganz allein. Ohne den Nachweis seiner Unterschrift unter einem entsprechenden Stück Papier wird vor Gericht wohl kein Mitarbeiter zugeben, einen bußgeldpflichtigen Verstoß gegen den Datenschutz begangen zu haben.

Verpflichtungserklärung als Beispiel zum Download:

Damit Sie ganz einfach eine entsprechende Verpflichtungserklärung für Ihre Mitarbeiter erstellen können, stellen wir unseren Mitgliedern auch hierfür wieder eine Vorlage zum Herunterladen zur Verfügung. Die können Sie wieder ganz einfach bearbeiten und für Ihren Salon anpassen.

Teile diesen Beitrag:

YouTube aktivieren?

Auf dieser Seite gibt es mind. ein YouTube Video. Cookies für diese Website wurden abgelehnt. Dadurch können keine YouTube Videos mehr angezeigt werden, weil YouTube ohne Cookies und Tracking Mechanismen nicht funktioniert. Willst du YouTube dennoch freischalten?